Seu código:
RewriteCond %{SERVER_PORT} 443 RewriteCond %{REQUEST_URI} !^/users [OR] RewriteCond %{REQUEST_URI} !group RewriteRule ^/?(users|groups)(.*)$ http://host.tld/$1 [R,L]
Se seguro e não usuários ou grupo ... acho que você quer se seguro e não usuários e não grupo. Mas, então, você reescreve APENAS usuários e grupos para http: o que parece ser o contrário do que você deseja.
Então, você poderia fazer:
RewriteCond %{SERVER_PORT} 443 RewriteCond %{REQUEST_URI} !^/(users|group) RewriteRule ^(.*)$ http://host.tld/$1 [R,L]
Como você eliminou usuários / grupo em suas regras, sua regra de reescrita nunca a veria.
No entanto, em vez de usar SERVER_PORT, considere:
RewriteCond %{HTTPS} off
e
RewriteCond %{HTTPS} on
Para tornar a depuração um pouco mais fácil,
RewriteLog /tmp/rewritelog
RewriteLogLevel 9
e observe esse arquivo de registro quando fizer solicitações, e você poderá ter uma ideia melhor do que está acontecendo.